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Abstract of DE1 9724072 

The invention relates to a device for carrying out 
a block cipher method, comprising a 
coding/decoding arithmetic unit (3) to which the 
data stream of word length j</=n is fed for 
ciphering. The invention is characterised in that 
said arithmetic unit (3) comprises several 
coding/decoding elements (5), each forming one 
stage of an arithmetic pipeline. The stages of 
said pipeline are configured in such a way that 
they work independently of each other in different 
operating modes and with different codes. 
Together with the other components and data 
paths which surround the coding/decoding 
arithmetic unit (3), the inventive device enables 
up to p data streams to be coded or decoded at 
the same time. The word length j</=n and 
operating mode of each data stream can be 
chosen independently of the others. The 
architecture of the device also permits different 
logical data streams to be processed directly one 
after the other on the physical channels provided 
by the hardware resources without any conflict. 
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Die folgenden Angaben sind den vom An me Id er eingereichten Unterlagen entnommen 

Prufungsantrag gem. § 44 PatG ist gestellt 

(S) Vorrichtung zur Durchftihrung eines Blockchiffrierverfahrens 

(57) Die Erfindung betrifft eine Vorrichtung zur Durchfiih- 
rung eines Blockchiffrierverfahrens mit einem Ver-ZEnt- 
schliisselungs-Rechenwerk (3), dem der zu chiffrierende 
Datenstrom der Wortbreite j ^ n zugefuhrt ist. Die Erfin- 
dung zeichnet sich dadurch aus, dafc das Rechenwerk <3) 
mehrere Ver-/Entschlusselungselemente (5) umfafct, die 
jeweils eine Stufe einer Rechenpipeline bilden, wobei die 
Stufen derart ausgebildet sind, dafc sie unabhangig von- 
einander in unterschiedlichen Betriebsarten und mit an- 
te rschied lichen Schlussetn arbeiten. Zusammen mit den 
das Ve r-/E ntsch I usse lungs rechenwerk (3) umgebenden 
weiteren Komponenten und Datenpfaden konnen mit der 
Erfindung zeitgleich bis zu p Datenstrome mit jeweils un- 
abhangig voneinander wahlbaren Wortbreiten j < n und 
Betriebsarten ver- oder entschlusselt werden. Die Archi- 
i tektur der Vorrichtung gestattet daruber hinaus die unmit- 
, telbar aufeinanderfolgende und konfliktfreie Bearbeftung 
unterschiedlicher logischer Datenstrome auf den durch 
die Hardware-Ressourcen bereitgestellten physikalischen 
Kanalen. 
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Beschreibung 

Die Erfindung betrifft cine Vorrichtung zur Durchfuhrung eines Blockchiflrierverfahrens mil einem Ver-/Entschlussei- 
ungs-Rechenwerk, dem der zu chiffrierende Datenstrom der Wortbreite j< n zugefuhrt ist. 
5 Kommerziell verfugbare beziehungsweise im akademischen Bereich enlwickelie Krypicchips fur Blockchiffrierver- 
fahren (wie zum Beispiel dem IDEA- oder DES-Kryptoalgorithmus) implementieren lediglich eine Untermenge der im 
ISO-101 16 Standard definierten Betriebsarten (ECB, CBC, CBC-MAC, CFB, OFB; die letzten beiden Betriebsarten sind 
dazu noch mil unterschiedlichen Plain- beziehungsweise Ciphertext-Wortbreiten j definiert) beziehungsweise stellen 
keine Architektur zur Verfugung, auf der verschiedene Ver-/Entschlusselungsbetriebsarten fiir unterschiedliche Daten- 
lo strome voreinander unabhangig und gleichzeitig abgearbeitet werden konnen. 

Die Aufgabe der vorliegenden Erfindung besteht deshalb darin, eine Vorrichtung zum Ausfuhren eines BlockchifFrier- 
verfahrens vorzusehen, die unterschiedliche Datenstrome voneinander unabhangig und gleichzeitig abarbeitet. 

Diese Aufgabe wird durch eine Vorrichtung gelost, die die Merkmale des Anspruchs 1 aufweist. 

Dadurch, daB das Rechenwerk mehrere Ver-/Entschlusselungselemente umfaBt, die jeweils einer Stufe einer Rechen- 
15 pipeline entsprechen, laBt sich ein Rechenwerk aufbauen, das unterschiedliche Datenstrome unabhangig voneinander ab- 
arbeiten kann. Dabei entsteht eine vollstandige Unabhangigkeit der Betriebsarten in den einzelnen Stufen der Rechenpi- 
peline. 

Durch die p-stufige Rechenpipeline werden Hardware-Ressourcen zur gleichzeitigen Bearbeitung von bis zu p von- 
einander unabhangigen Datenstromen bereitgestellt, die als physikalische Kanale bezeichnet werden sollen. 
20 Durch die Unabhangigkeit der physikalischen Kanale lassen sich unabhangige, logische Kanale einrichten und auf die 
physikalischen Kanale abbilden, wobei die Anzahl der logischen Kanale die Anzahl der physikalischen Kanale uberstei- 
gen kann und die Nulzung der physikalischen Kanale durch die logischen Kanale im Zeitmultiplexbetrieb erfolgt. Ein 
solcher logischer Kanal ist charakterisiert durch einen Datenstrom zur Ver-/Entschliisselung der jeweiligen Betriebsart 
sowie dem dazugehorigen Schlussel und gegebenenfalls einem Start-/Initialisierungswert - Zur besseren Unterschei- 
25 dung werden im folgenden die logischen Kanale auch als Kontexte bezeichnet. 

Vorteilhafte Ausgestallungen der Erfindung ergeben sich aus den "Unteranspriichen. 

Mil der crfindungsgcmaBcn Vorrichtung ist die Rcalisicrung von ISO- 10116 Betriebsarten bci Vcrschlusselungsvcr- 
fahren moglich, wobei die Rechenpipeline zur Durchfiihrung der Ver-/Entschlusselungsoperation in mehreren Runden 
betrieben wird. Als Verschlusselungsverfahren lassen sich beispielhaft das IDEA-(Intemational Data Encryption Algo- 
30 rithm) oder das DES -{Data Encryption Standard) Verfahren nennen. 

Ein weiterer Vorteil der erfindungsgemaBen Vorrichtung ist darin zu sehen, daB keinerlei Einschrankungen fur die 
beim Kontextwechsel auftretenden Kombinationen von vorhergehender Betriebsart (bei einem auszulagernden Kontext) 
und nachfolgender Betriebsart (beim neu zu initialisierenden Kontext) zu beachten sind. 

Durch entsprechende Ausgestaltung der \forrichtung auf konfliktfreie Datenubertragungswege bei gleichzeitigem Ab- 
35 schluB des Betriebes in einem Kontext (Weiterleitung und Sicherung der Ergebnisse beziehungsweise des S tartwerts zum 
Wiederaufsetzen des Ver-/Entschliisselungsverfahrens im nun beendeten Kontext) und der Aufhahme des Betriebes im 
neuen Kontext wird keine zusatzliche Verzogerung bei einem Kontextwechsel benotigt. 

Die ohne zusatzliche Verzogemngen durchgefiihrten Kontextwechsel werden ermoglicht durch einen den Betrieb 
uberlappenden Subschliissel- oder SchlusselwechseL Dabei erfolgt das Laden der fur den neuen Kontext benotigten Sub- 
40 schlussel beziehungsweise Schlussel in den den Ver-/Entschlusselungselementen zugeordneten Speicherelementen der- 
art, daB vom derzeit noch aktiven Kontext bereits abgearbeitete Schlussel in den Speicherelementen uberschrieben wer- 
den. 

Samtliche Datenpfade auBerhalb des Rechenwerks sind im normalen Betrieb (Beginn/Fortfuhrung/Ende einer weite- 
ren Ver/Entschliisselung in einem gerade aktiven Kontext ohne unmittelbar vorherigem/nachfolgendem Kontextwech- 
45 sel) fur die Dauer einer Taktperiode einem Kanal zugeordnet. Bei einem Kontextwechsel (alter logischer Kanal wird be- 
endet, des sen neu berechneter Start wert wird auBerhalb der vorliegenden Vorrichtung fur eine Wiederaufnahme des Kon- 
textes abgelegt; der neue logische Kanal wird initialisiert und beginnt im gleichen Takt die Abarbeitung) hingegen sind 
gleichzeitig der alte, auszulagemde Kontext (im Ausgangsbereich der "Vorrichtung) und der neue, einzulagernde Kontext 
(im Eingangsbereich der Vorrichtung) aktiv. 
50 Durch die Mitfuhrung von Data- Valid-Inforrnationen zur Charakterisierung der in einer Pipelinestufe befindlichen Da- 
ten wird ein fort laufender Betrieb auch in dem Fall gewahrleistet, daB aufgrund unterschiedlicher Datenraten in den ver- 
schiedenen aktiven Kontexten zweitweise fur einen oder mehrere Kanale keine gultigen Eingangsdaten bereitslehen. Die 
Rechenpipeline wird in diesem Fall nicht angeh alien, sondern lauft unter Markierung des/der Kanale ohne giiltige Ein- 
gangsdaten weiter. Die Mitfuhrung von Valid-Data-Bits und der Betriebsart in jedem Kanal der Pipeline (beziehungs- 
55 weise in separater Lookup- Table) ist erforderlich zur bedingten Speicherung von Zwischen-Ergebnissen in den vorhan- 
denen Registerelementen beziehungsweise in einem am Datenausgang angeschlossenen Datenpuffer sowie zur Festle- 
gung der vom Kanal verwendeten Datenpfade. 

Die Erfindung wird nun anhand eines Ausfuhrungsbeispiels mitBezug auf die Zeichnung naher erlautert. Dabei zeigt 
die einzige Figur ein Blockdiagramm einer Vorrichtung zur Durchfuhrung eines Blockchiffrierverfahrens. 
60 Eine in der Figur dargestellte Vorrichtung 1 zur Durchfuhrung eines BlockchifTrierverfahrens umfaBt ein Rechenwerk 
3, das das Herz der Ver-/Entschlusselung darstellt. Das Rechenwerk 3 selbst bestehl aus einer Anzahl von p Rechenwerk- 
einheiten 5, die jeweils zur Ausflihrung einer Ver-/Entschlusselungs(-teil-)funktion ausgebildet sind. Auf die interne 
Struklur dieser Rechenwerkeinheiten 5 soil an dieser Stelle jedoch nicht eingegangen werden. 

Die in der Figur gezeigten, unabhangig voneinander arbeitenden Rechenwerkeinheiten 5 biiden eine Rechenwerkpi- 
65 peline, bei der die Ver-/Entschlusselung in mehreren Schritten und falls erforderlich in mehreren Durchlaufen erfolgt. 
Der zu ver-/entschlusselnde Datenstrom wird einem Dateneingang 7 der Vorrichtung 1 zugefiihrt. Dieser Datenstrom 
wird durch eine Folge von Datenwortern der Wortbreite j<n Bits gebildet, die im folgenden auch als Datensignale be- 
zeichnet werden. Bei den Ver-ZEntschlusselungen werden jeweils nur die j niederwertigsten Bits des Eingangsdaten- 
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stroms vcrarbeitet. Die hochstwertigen (n-j) Bits werden beim Ver-/EntschlusselungsprozeG nicht berucksichtigt und 
konncn bcispielsweise der Aufnahme unverschlusselt zu ubertragenden Sieuerinforinaiionen dienen. 

Die am Dateneingang liegenden Daiensignale werden einem Eingang eincs Multiplexers 9 zugefuhrt. Das Ausgangs- 
signal dcr Wortbreite n des 3 : 1 Multiplexers 9 wird einem Exklusiv-Oder-Gatter 11 zugefuhrt, dessen Ausgang mil der 
erst en Stufe 5 des Rechenwerks 3 verbunden ist. Das zur Verkniipfung im Exklusiv-Oder-Gatter 11 not we nd ige zweite 5 
Eingangssignal liefert ein 2 : 1 Multiplexer 13 der Wortbreite n. Das Exklusiv-Oder-Gatter verkniipfi die beiden n Bits 
unifassenden Eingangssignale bitweise zu einem Ausgangssignal gleicher Wertbreile. 

Dieser Multiplexer 13 wahlt eines aus zwei an liegenden Eingangssignalen aus, wobei eines der beiden Eingangssi- 
gnale einen konstanten Wen, im vorliegenden Ausfuhrungsbeispiel den Bitvektor 0 mit einer Wortbreite n Bits besitzt. 
Das andere Eingangssignal liefert entweder ein erstes Register 15 oder ein zweites Register 17. to 

Bei dem ersten Register 15 handelt es sich um einen Speicher, der eine Anzahl von p Datenworte der Wortbreite n Bits 
abspeichem kann. Zur Erhohung der Flexibilitat ist es auch denkbar, daB das erste Register 15 unterschiedliche Wortbrei- 
ten am Eingang (beispielsweise n, n / 2 , . . . Bits) und am Ausgang (n Bits) aufweist, wobei im Register dieUmsetzung der 
Eingangs wortbreite auf die Ausgangswortbreite n Bits erfolgt Das erste Register 15 selbst dient zur Aufnahme von 
Start-ZInitialisierungs wert bei den Betriebsarten CBC (Cipher Block Chaining), CFB (Cipher Feed r Back) und OFB (Out- 15 
put Feed-Back). Eine genaue Erlauterung dieser Betriebsarten befindet sich in ISO/TEC 10116, 1991 (E), "Information 
Processing-Modes of Operation for n-Bit Block Cipher Algorithm", International Organisation for Standardization, so 
daB an dieser Steile nicht weiter auf diese Verfahren eingegangen werden muB. 

Das zweite Register 17 ist ebenfalls als Speicher ausgebildet, wobei etne Anzahl von p Datenworten mit einer Wort- 
breite von n Bits gespeichert werden kann. Im Gegensatz zu dem ersten Register 15 besitzt das zweite Register 17 zwei 20 
Ausgange 19.1, 19.2, wobei der Ausgang 19.1 mit dem Eingang des Multiplexers 13 verbunden ist. Das zweite Register 
17 dient zur Aufnahme von Dateneingangswenen beziehungsweise Ruckkopplungswerten bei den zu dem ersten Regi- 
ster 15 genannten Betriebsarten. 

An dem oberen Ausgang 19.1 laBt sich entweder der adressierte gespeicherte Wert oder der am Eingang des zweiten 
Registers 17 anliegende Eingangswert abgreifen, Dagegen laBt sich am Eingang 19.2 lediglich der adressierte gespei- 25 
cherle Wert auslesen. Das zweite Register 17 ist desweileren so ausgelegL, daB gleichzeilig mit dem Auslesen eines Da- 
tcnsignals cin nachfolgcnd zu spcichcrndcs Datcnsignal in das Register iibcrnchmbar ist. 

Obgleich in der Figur der Ausgang des ersten Registers 15 und der Ausgang 19.1 des zweiten Registers 17 zusammen- 
gefuhrt sind. werden die beiden gespeicherten Werte der Register 15, 17 wahlweise an den Eingang des Multiplexers 13 
ubertragen. Dazu sind die beiden Register 15, 17 entweder mit einem sogenannten Tri-State-Treiber versehen, bei dem 30 
der Ausgang auf einen hochohmigen Wert geschaltet werden kann. Altemativ hierzu laBt sich jedoch auch durch Ver- 
wendung eines in der Figur nicht dargestellten 2 : 1 Multiplexers eine entsprechende Signalauswahl erzielen. 

Dem ersten Register 15 wird ein Start-/Initialisierungssignal uber einen Eingang 21 zugefuhrt. Dem zweiten Register 
17 wird ein Eingangssignal zugefuhrt, das von einem 3 : 1 Multiplexer 23 aus drei Eingangssignalen ausgewahlt wird. 
Eines der Eingangssignale ist das Ausgangssignal des Multiplexers 9, ein weiteres Eingangssignal ist das Ausgangssi- 35 
gnal des ersten Registers 15 beziehungsweise das am Ausgang 19.1 anliegende Ausgangssignal des zweiten Registers 
17. Bei dem dritten Eingangssignal des Multiplexers 23, der im ubrigen ebenfalls Datensignale der Wortbreite n verar- 
beitet handelt es sich um ein ruckgekoppeltes Signal R, das nachfolgend noch naher erlautert wird. 

Dieses ruckgekoppelte Signal R liegt im ubrigen auch an einem Eingang des Multiplexers 9 an. Bei dem dritten und 
damit letzten Eingangssignal des Multiplexers 9 handelt es sich um einen konstanten Bitvektor, vorzugsweise mit dem 40 
Wert 0. 

Das ruckgekoppelte Signal R wird ebenfalls einem weiteren 2 ; 1 Multiplexer 25 der Wortbreite n als ein Eingangssi- 
gnal gefiihrL Das zweite Eingangssignal des Multiplexers 25 bildet das am Ausgang 19 J2 des zweiten Registers 17 an- 
liegende Signal. Das Ausgangssignal des Multiplexers 25 wird dem Eingang eines dritten Registers 27 zugefuhrt. Das 
dritte Register 27 ist ebenfalls als Speicher ausgebildet, der eine Anzahl von p Datenworten der Wortbreite n Bit abspei- 45 
chern kann, wobei wie das erste Register 15 unterschiedliche Wortbreiten am Eingang (n Bits) und am Ausgang (bei- 
spielsweise n, n /2, - . . Bits) vorliegen konnen. 

Das dritte Register 27 dient zur Aufnahme des berechneten Initialisierungswertes fur Folge-Ver-/Entschlusselungen 
fur jene Betriebsarten, die im Zusammenhang mit dem ersten Register 15 erwahnt wurden. Der Initialisierungswert be- 
ziehungsweise das Initialisierungssignal wird in dem dritten Register 27 gepuffert und bei einem Kon textwechsel hieraus 50 
ausgelesen und liber den Ausgang 28 der Vorrichtung 1 einem extemen Puffer zugefuhrt. Sobald der beendete Kontext 
wieder fortgesetzt wird, wird der gepufferte Initialisierungswert uber den Eingang 21 als Startwert dem ersten Register 
15 zur Verfugung gestellL Dies ist durch eine gestrichelte Linie L in der Figur veranschaulicht. 

In der Figur ist weiterliin ein 2 : 1 Multiplexer 29 zu erkennen, dem einerseits das am Ausgang 19.1 des zweiten Re- 
gisters 17 anliegende Datensignal und des weiteren das am Dateneingang 7 anliegende Datensignal zugefuhrt ist Aus 55 
diesen beiden Eingangssignalen wahlt der Multiplexer 29 ein Datensignal aus und fuhrt dieses einem temporaren Regi- 
ster 31 als Eingangssignal zu. Dieses Register ist als Speicher zur Speicherung einer Anzahl von p Datensignalen der 
Wortbreite n Bit ausgebildet und dient der Aufnahme eines Dateneingangs- oder Initialisierungssignals fur die Dauer ei- 
ner Ver-ZEntschliisselung. Das gespeicherte Datensignal des temporaren Registers 31 wird als Eingangssignal einem 2 : 1 
Multiplexer 33 zugefuhrt, dessen zweiter Eingang mit einem konstanten Bitvektor - im vorliegenden Ausfiihrungsbei- 60 
spiel mit dem Wert 0 - beaufschlagt ist. Das Ausgangssignal des Multiplexers 33 wird einem Exklusiv-Oder-Gatter 35 
zur Verkniipfung mit einem weiteren Eingangssignal zugefuhrt, das von einer Auswahlvorrichtung 37 bereitgesteilt wird. 
Das Eingangssignal dieser Auswahlvorrichtung 37 slellt das Ausgangssignal der letzten Stufe 5.p des Rechenwerks 3 
dar. 

Die Auswahlvorrichtung 37 dient dazu, aus dem n Bits umfassenden Eingangswert die j hochstwertigen Bitstellen her- 65 
auszugreifen und am Ausgang in die j niederwertigsten Bitstellen einzusetzen. Die ubrigen (n-j) hochstwertigen Stellen 
des Ausgangswertes werden mit dem Wert 0 gefiillt. Somit realisiert die Auswahlvorrichtung 37 eine Verschiebung des 
Eingangswertes um (n-j) Stellen. 
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Die von der Auswahlvorrichtung 37 ausgefuhrte Funktion SV laBt sich wie folgi darsielien: 

out[n-l : 0]=SV(j,in[n-l : 0])={zero[n-j-l : 0],in[n-l : n-j]}. 

5 Hierbei wird fur Datenleilungen beziehungsweise Datensignale der Breiten i die Notation [i-1 : 0] verwendet, wobei 
Bii [i-1] das hochstwertige Bit (MSB) und Bit [0] das niederwertigste bit (LSB) bezeichnen. Das Zeichen { } bezeichnet 
eine Konkatenation von Daten sign alen/Datenleitungen zu einem Bus. 

Das Ausgangssignal des Exklusiv-Oder-Gatlers 35 wird einer Maskierungsvorrichtung 39 zugefiihrt, die das Ein- 
gangsdatensignal folgender Funktion MASK unterzieht: 

10 

out[n-l : 0]=MASK(j,in[n-l : 0])={zero[n-j-l : 0],in[j-l:0]} 
oder bei Bedarf 

15 out[n-l : 0]=MASK(j,in[n-l : 0])={in[n-l : 0]}. 

Das heiBt in Worten, daB die hochstwertigen (n-j) Bits auf 0 maskiert werden durch KonkatenaLion der j niederwertig- 
sten Bits des Eingangswertes mit dem Ergebnis der Funktion zero[n-j-l : 0], die einen (n-j)-stelligen (>-Vektor liefert. 
Im vorliegenden Ausfiihrungsbeispiel laBt sich diese Maskierung abschalten, so daB auch die hochstwertigen (n-j) Bits, 
die, wie bei der Beschreibung des Dateneingangs 7 bereits angegeben, der Aufnahrne beispielsweise von unverschliisselt. 

20 zu ubertragenden Steuerinfonnationen dienen konnen, unverandert zum Ausgang der Maskierungsvorrichtung 39 uber- 
Lragen werden. Das Ausgangssignal der Maskierungsvorrichtung 39 bildet dann das an einem Datenausgang 41 abgreif- 
bare Datenausgangssignal der Vorrichtung 1. 

Zur Riickkopplung eines Ausgangssignals des Rechenwerks 3 ist ein 4 : 1 Multiplexer 43 vorgesehen, dem als Ein- 
gangssignale die Ausgangssignale des Rechenwerks 3, der Auswahlvorrichtung 37, des Exklusiv-Oder-Gatters 35 und 

25 des Multiplexers 33 zugefiihrt sind. Aus diesen vier Eingangssignalen der Wortbreite n wanlt der Multiplexer 43 ein Da- 
tensignal aus und fiihrt es einer Verschiebe- und Konkalenationsvorrichtung 45 als zweiles Eingangssignal in2 zu. Das 
crstc Eingangssignal inl bildet das am Ausgang 19.2 anlicgcndc Datcnsignal des zwcilcn Registers 17. Dicsc beiden Ein- 
gangssignale inl, in2 werden nun rnittels der Funktion VK wie folgt miteinander verkniipft; 

30 out[n-l : 0]=VK(j,k,inl[n-l : 0],in2[n-l : 0])= {inl[n-k-l : 0],one[k-j-l : 0],in2[j-l : 0]}, 

das heiBt, daB eine Konkatenation der (n-k) niederwertigsten Bits des Eingangssignais inl, von (k-j) 1-Bits aus der 
Funktion one[k-j-l : 0]) und der j niederwertigsten Bits von dem Eingangssignal in2 durchgefuhrt wird. Das Ausgangs- 
signal der Verschiebe- und Konkatenationsvorrichtung 45 bildet dann das bereits beschriebene riickgekoppelte Signal R. 

35 Die Figur laBt noch erkennen, daB dem Rechenwerk 3 eine Speichervorrichtung 47 zugeordnet ist, wobei diejenigen 
Rechenwerkeinheiten 5. . .5p mit der Speichervorrichtung 47 verbunden sind, die zur Durchfuhrung ihrer Ver-/Ent- 
schiusselungs(-teil-)operation Schlussel beziehungsweise Subschliissel benotigen. Die Speichervorrichtung 47 selbst 
dient der Bereitstellung von zur Ver-/Entschlusselung benotigten Schlusseln beziehungsweise Subschliisseln, wobei sie 
bei einem wahlfreien Betrieb der p Pipelinestufen Schlussel oder Subschliissel fur mindestens p Kontexte aufnehmen 

40 muB. Abhangig von der Betriebsart im jeweiligen Kontext sind entweder die im ISO10ll6-Standard genannten E (En- 
cryption) oder D (Decryption) Subschliissel beziehungsweise Schlussel in der Speichervorrichtung 47 abzulegen. Zurn 
gleichzeitigen Auslesen (fur die Ver-/Entschlusselung) und Schreiben (fur die Initialisierung eines neuen Kontextes iiber 
den Eingang 48) sind zwei unabhangig voneinander betreibbare Speicherschnittstellen vorgesehen. Vorzugsweise han- 
delt es sich bei der Speichervorrichtung 47 um ein Dual-Port-RAM (Random Access Memory, wiederbeschreibarer 

45 Speicher mit wahlfreiem Zugrifif). 

Die Figur laBt nicht erkennen, daB zur Vermeidung von Stillstandzeiten des Rechenwerks 3 ein sogenanntes Data- Va- 
lid-Flag fur jede der p Pipelinestufen 5 vorgesehen ist, welches angibt, ob in der entsprechen Pipelinestufe gultige Daten 
vorhanden sind und bearbeitet werden. Zum Ende einer Ver-/Entschliisselung wird eine Weiterleitung iiber den Daten- 
ausgang 41 beziehungsweise Speicherung des Ergebnisses in den Registern 17 und/oder 27 nur dann durchgefuhrt, wenn 

50 die Daten am Ausgang der letzten Pipelinestufe 5.p giiltig waren. Die Data- Valid-Flags begleiten die zugehorigen Daten 
auf deren Weg durch das Rechenwerk 3. 

Falls zu einem Zeitpunkt, zu dem fur einen Kontext Eingangsdaten erwartet werden, keine Eingangsdaten vorliegen, 
wird das Rechenwerk nicht angehalten, sondern nur das zugehorige Data- Valid- Rag auf "Data-Invalid" gesetzt. Daten 
fur diesen Kontext konnen dann erst wieder nach einem vollstandigen Ver-/Entschlusselungsdurchgang (nach r • p Tak- 

55 ten, wobei r die Zahl der durch den Verschiiisselungsalgorithmus benotigten Runden (hier: Durchlaufe eines zu bearbei- 
tenden Datums durch die Rechenwerkpipeline 3) und p die Anzahl der Pipelinestufen darstellen) entgegengenommen 
werden. 

In der Figur sind der Ubersicht wegen die AdreBleitungen zu den Registern 15, 17, 27 und 31 nicht dargestellt Sowohl 
die Lesezugriffe auf das erste Register 15, das zweite Register 17 und das temporare Register 31 als auch die Schreibzu- 

60 griffe auf das temporare Register 31 , das zweite Register 1 7 und das dritte Register 27 werden gemeinsam adressiert.. Die 
Adresse gibt dabei die Nummer i e { 1, 2. . .p} des Kontextes an, dem die gesamte Struktur auBerhalb des Rechenwerks 
3 wahrend der betrachteten Peri ode zugeordnet ist. 

Desweiteren sind zur Vereinfachung in der Figur lediglich einzelne Leitungen dargestellt. Sie stehen jedoch stellver- 
tretend fur Datenbusleitungen, die samtlich fur eine Ubertragung von Datenworten der Wortbreite n Bits ausgelegt sind. 

65 Einzige Ausnahmen hiervon konnen die Datenbusse vom Eingang 21 zum ersten Register 15, vora Ausgang des dritten 
Registers 27 zum Ausgang 28 sowie die Datenbusse fur die Subschliissel beziehungsweise Schlussel zwischen dem Ein- 
gang 48 und der Speichervorrichtung 47 oder zwischen dieser und der Rechenwerkpipeline 3 bilden. Im iibrigen wurden 
auch die Taktleitungen der Ubersicht wegen nicht dargestellt, die zur getakteten I Jbertragung der einzelnen Datenworte 
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iiber die Busleitungen und die enlsprechende Verkniipfung in den einzclnen Verknupfungselemenlen notwendig sind. 

Im folgcnden soil nun aufdic Funkiion der Vorrichtung 1 in den einzclnen Betriebsarten eingegangen werden. 

Wahrend eines Takl.es stehl die gesanite Slmktur beziehungsweise Archilektur auBcrhalb des Rechenwerks 3 einem 
Kontext, das heiBt einem virluellen oder logischen Kanal, zur Verfugung. Analog hierzu ist im Rechenwerk 3 jeder Pi- 
pelines! ufe 5 ein eigener Kontexf (virtueller Kanal) zugeordnet. 5 

Wird ein Kontextwechsel vorgenommen, das heiBt die Abarbeitung eines Koniextes nach vollstandiger Berechnung 
des Ergebnisses (ver-/entschlusseltes Dalum) beendet, dessen Ergebnisse zum Wiederaufsetzen des Kontextes gesichert 
und ein neuer Kontext gestartet, so ist der Ausgangsbereich der Archilektur dem beendeten Kontext und der Eingangs- 
bereich der Archilektur dem gestarteten Kontext zugeordnet, Als Ausgangsbereich werden die in der Figur mil den Be- 
zugszeichen 31, 33, 37, 39, 43, 45, 25, 35. und 27 gekennzeichneten Komponenten bezeichnet. Als Eingangsbereich wer- 10 
den die mit den Bezugszeichen 9, 11, 13, 29, 15, 17 und 31 sowie die zu deren Verbindung benotigten Busse beziehungs- 
weise Datenleitungen bezeichnet. Zur Verdeutlichung ist in der Figur jeder der Komponenten im Ausgangsbereich ein A 
und im Eingangsbereich ein E zugeordnet. 

Die zur Abarbeitung der Blockchiffrierung nach der bereits genannten ISO-10116 benotigten Informationen zur Kon- 
figuration der Archilektur sind, sortiert nach Betriebsarten, in der Tabelle am Ende der Beschreibung angegeben. Die 15 
Eintragungen (I) und (F) in der ersten Spalte der Tabelle kennzeichnen die Ver-/Entschlusselung des ersten Datenblocks 
nach einem Kontextwechsel (I), beziehungsweise die darauffolgenden Ver-/Entschiusseiungen (F) fur weitere Daten- 
blocke im gleichen Kontext. Zu beachten ist, daB bei einem Kontextwechsel in einem Kanal das Ende der letzten Runde 
einer Ver-/Entschlusselung zeitgleich mit dem Beginn der ersten Runde (I) fiir den neuen Kontext ausgefuhrt wird. Die 
erste Runde (I) bei einem neu initialisierten Kontext wird erst bei verfugbaren Daten im Eingangspuffer gestattet Bei 20 
Folgeoperationen im gleichen Kontext wird die Konfigurauon "Beginn 1. Runde (F)" ausgewahlt, die wiederum zeit- 
gleich das Ende der letzten Runde der vorigen Operation und den Start der Nachfolgeoperation durchfuhrt. 

Als Beginn einer Runde wird die Bereitstellung aller Eingangswerte an den Eingangen des Rechenwerks 3, der Regi- 
ster 15; 17, 27 (soweit bei der jeweiligen Betriebsart erforderlich) beziehungsweise des temporaren Registers 31 verstan- 
den. Als Ende der letzten Runde fur einen Ver-/Entschlusselungsdurchlauf gilt entsprechend die Weiterleitung der Ergeb- 25 
nisse von den Ausgangen des Rechenwerks 3, den Registern 15, 17, 27 beziehungsweise dem temporaren Register 31. 

Die Bczcichnungcn der Spaltcn geben die Bezugszeichen der cntsprcchcndcn Komponenten in der Figur an, die Spal- 
teninhalte den durchgeschalteten Eingang bei Multiplexern, wobei die Eingange mit den Buchstaben A, B, C oder D be- 
zeichnet sind, beziehungsweise das numerische Funktionsargument (bei den Verschiebe- beziehungsweise Maskierungs- 
vorrichtungen 37, 39 oder 45) angeben. Die Elemente, die den nicht besetzlen Feldem zugeordnet sind, konnen fiir die 30 
Sicherung des vorherigen beziehungsweise die Bereitstellung des nachfolgenden Datensatzes (gegebenenfalls in einem 
anderen Ver-/Entschlusselungsmodus) geeignet gesetzt werden. 

Fiir die Schreibfunktionen des zweiten Registers 17 beziehungsweise des dritten Registers 27 gelten die folgenden Ab- 
kurzungen: 

WVO: write on valid pipeline output data; das heiBt, eine Daten ubernah me in das Register erfolgt, falls giiltige Daten am 35 
Ausgang des Rechenwerks 3 anliegen; 

WVI: write on valid input buffer data; das heiBt, eine Datenubernahme in das Register erfolgt, falls am Dateneingang 7 
giiltige Eingangsdaten bereitgestellt werden; 
-: keine Datenubernahme. 

Fur das zweite Register 17 gilt dariiber hinaus: 40 
B: bypass; direkte kombinatorische Durchschaltung des Eingangs des zweiten Registers auf den Ausgang 19.1, gegebe- 
nenfalls mit zusatzlicher Abspeicherung des Eingangswerts im zweiten Register, wenn giiltige Eingangspufferdaten und 
Ausgangsdaten aus dem Rechenwerk 3 vorhanden sind. 

Fiir das dritte Register 27 gilt: 

W_II: write register II output; das heiBt, das Ausgangssignal des zweiten Registers 17 wird gespeichert. 45 

In das temporare Register 31 werden in den betreffenden Betriebsarten Werte nur ubemommen, wenn giiltige Daten 
am Dateneingang anliegen. 

Falls bei einem Kontextwechsel Schreibzugriffskonflikte auf dem zweiten Register 17 auftreten (das heiBt sowohl fur 
die alien als auch fiir den neuen Kontext, rntiBten laut der Tabelle Schreibzugriffe auf das zweite Register 17 erfolgen), 
wird nur der Schreibzugriff des neuen Kontextes ausgefuhrt. Der vom alten Kontext in das Register 17 zu speichemde 50 
Wert konnte nicht mehr ausgewertet werden. 

Das erste Register 15 beziehungsweise das dritte Register 27 werden unabhangig vom Stand der Ver-/Entschlussel- 
ungsabarbeitung beschrieben (erstes Register) beziehungsweise gelesen (drittes Register) und sind daher in der Tabelle 
nicht aufgefuhrt. Einzige Voraussetzung fur deren Schreib- (erstes Register) beziehungsweise Leseoperationen (drittes 
Register) ist die rechtzeitige Bereitstellung beziehungsweise das rechtzeitige Auslesen der Daten, bevor eine durch die 55 
auszufuhrende Ver-/oder Entschlusselung hervorgerufene Leseanfbrderung (beim ersten Register) beziehungsweise 
Schreibanforderung (beim dritten Register) vorliegt. 

Mit Ausnahme der in der Praxis haufig verwendeten und nicht in den ISO-Standard erf aB ten Betriebsart OFB_N_ISO- 
m Enc./Dec. (OFB-Betriebsart gemaB B. Schneier: "Applied Crytography", 2nd Ed. 1995, John Wiley & Sons, Inc.) ent- 
sprechen alle in der TabelJe gemaB Fig. 2 genannten ubrigen Betriebsarten den im TSO-1 01 1 6-Standard gefuhrten Rand- 60 
bedingungen. Fur die Wortbreiten n und die Funktionsargumente k beziehungsweise j sind in der Praxis n=64 und 
k=j=64,8,7,l haufig verwendete Werte. 

Zur Verdeutlichung der in der Tabelle verwendeten Nomenklatur soli nochmals anhand von zwei Beispielen dessen 
Bedeutung erlautert werden. 

Als erste Betriebsart ist in der Tabelle der ECB-Enc./Dec. Modus angegeben. Hierbei wird der Eingang A des Multi- 65 
plexers 9, das heiBt das Dateneingangssignal am Dateneingang 7 weitergeleilet und am Exklusiv-Oder-Gatter 11 mit dem 
am Eingang B anliegenden Signal des Multiplexers 13 verkniipft. Da dieses Signal am Multiplexer 13 den konstanten 
Wert 0 aufweist, wird das Ausgangssignal des Multiplexers 9, das heiBt das Dateneingangssignal am Eingang 7 der er- 
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sten Slufe des Rechenwerks 3 zugefuhrt. Sobald der erste Wert das Rechenwerk 3 durchiaufen hat und nicht wiedcr zu- 
riickgcfuhri werden soil, wird das Eingangssignal am Eingang B des Multiplexers 33 ausgewahlt. Da es sich hierbei um 
einen konsianlen Wert 0 handclu wird das am Exklusiv-Oder-Gatter 35 anliegende Signal unverandert weitergefuhrt. Die 
beiden Buchstaben n in den Spalten 37 und 39 besagen, daG keine Veranderung, das heiBt Auswaht oder Maskierung, in 
5 den beiden Vorrichtungen 37 und 39 slattfindel. 

Der nachste in der Tabelle angegebene Modus isL der CBC-Enc. Modus. Hierbei werden in der ersten Initialisierungs- 
runde die Signale an den Eingangen A der Multiplexer 9 und 13 zum Exklusiv-Oder-Gatter 11 weitergefuhrt. Dort finder 
dann eine entsprechende Verkniipfung des in dem ersien Register 15 abgespeicherten Start- beziehungsweise Initialisie- 
rungswertes und dem Dateneingangssignal statt, wobei das verknuptte Signal dem Rechenwerk 3 zugefuhrt wird. An- 
10 schlieBend werden zur Ver-/Entschlussung die Signale an den Eingangen B der beiden Multiplexer 33 und 43 und die 
Eingangssignale an den Eingangen A der Multiplexer 23 und 25 weitergeleitet. Eine Veranderung des Datensignals durch 
die Vorrichtungen 37, 39 oder 45 findet nicht statt Desweiteren wird das ruckgefuhrte Signal R in das zweite Register 17 
sowie in das dritte Register 27 eingeschriehen. Tn rier letzten Runde dieser Betriebsart. wird das ruckgefuhrte Signal R in 
das dritte Register 27 als Startwert fur eine erneute Kontexunitialisierung eingeschrieben. Eine Ubemahme dieses Da- 
is tensignals in das zweite Register 17 erfolgt jedoch nicht, 

Enlsprechend sind auch die weiter in der Tabelle angegebenen Betriebsarten zu verstehen. 

Es zeigt. sich also, daB sich durch dieUnabhangigkeitder Pipelinestufen eine Vorrichtung realisieren laBt, die verschie- 
dene Datenstrome in verschiedenen Ver-/Entschlusseluogsbetriebsarten abarbeiten kann. 
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Patentanspruche 

1. Vorrichtung zur Durchfuhrung eines Blockchiffrierverfahrens mit einem Ver-/Entschlusselungs- Rechenwerk (3) 
65 , dem der zu chiffrierende Datenstrorn der Wortbreite n zugefuhrt ist, dadurch gekennzeichnet, daB das Rechen- 

werk (3) mehrere Ver-/Entschlusselungselemente (5) umfaBt, die jeweils eine Stufe einer Rechenpipeline bilden, 
wobei die Stufen derart ausgebildet sind, daB sie unabhangig voneinander in unterschiedlichen Betriebsarten und 
mit unterschiedlichen Schliisseln arbeiten. 
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2. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, daB jcdem Vcr-/Entschlusselungsc lenient (5), welches 
zur Durchfuhrung seiner Ver-/Enischlusselungs(-iei!-)operation(en) Schlussel beziehungsweise Subschlussel beno- 
ligt, cin Speichere lenient (47) zugeordnet isU das zum Spcichcrn eines SchJussels beziehungsweise eines Sub- 
schliissels geeignet isu 

3. Vorrichiung nach Anspruch 2, dadurch gekennzeichnet, daB das Speichere lement (47) ein Dual-Port-Speicher 5 
isL 

4. Vorrichiung nach einem der vorhergehenden Anspriiche, dadurch gekennzeichnet, daB dem Rechenwerk (3) ein 
Exklusiv-Oder-Gatter (11) vorgeschaltet ist, das eine bitweise Verkniipfung zweier Eingangsworte der Wortbreite n 
durchruhrt. 

5. Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, daB ein Eingang des Exklusiv-Oder-Gatiers (11) mit. ei- iu 
ner ersien Multiplexer- Vorrichtung (9) und der zweite Eingang mil einer zweiten Multiplexer- Vorrichtung (13) ver- 
bunden ist, wobei der ersten Multiplexer- Vorrichtung (9) der Eingangsdatenstrom zugefuhrt ist. 

6. Vorrichtung nach Anspruch 5, dadurch gekennzeichnet, daB ein Eingang der zweiten Multiplexer- Vorrichtung 
(13) mit einem Ausgang einer Zwischenspeichervorrichtung (15, 17) verbunden ist, die zur Speicherung mehrerer 
Start- und Initialisierungswerle fur das Chifrrierverfahren sowie von Dateneingang- und Ruckkopplungswerten aus- 15 
gebildet sind. 

7. Vorrichtung nach Anspruch 6, dadurch gekennzeichnet, daB der Ausgang des Rechenwerks (3) mit einer Aus- 
werte vorrichtung (33, 35, 37, 43, 39) verbunden ist, die den ver-Zentschlusselten Datenstrom an einem Ausgang be- 
reitstellt und an einem weiteren Ausgang Daten bereitstellt, die dem Eingang des Rechenwerks ruckgefuhrt sind. 

8. Vorrichtung nach Anspruch 7, dadurch gekennzeichnet, daB die Auswertevorrichtung ein Auswahlelenient (37) 20 
zur Auswahl einer Anzahl von Bits des am Eingang liegenden Daten worts umfaBt, sowie ein Exklusiv-Oder-Gatter 
(35) und ein Maskierungselement (39), wobei der Datenstrom vom Ausgang des Auswahlelements iiber das Exklu- 
siv-Oder-Gatter (35) und das Maskierungselement (39) zu einem Ausgang gefuhrt isL 

9. Vorrichtung nach Anspruch 8, dadurch gekennzeichnet daB dem Exklusiv-Oder-Gatter (35) ein wei teres Daten- 
signal zugefuhrt ist. 25 

10. Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, daB die Auswahlvorrichtung ein Multiplexer- Element 
(43) umfaBt, dem als Eingangssignalc die Ausgangssignalc des Rechenwerks (3), des Auswahlelements (37) und 
des Exklusiv-Oder-Gatters (35) sowie ein Eingangssignal des Exklusiv-Oder-Gatters (35) zugefuhrt sind. 

11. Vorrichtung nach Anspruch 6, dadurch gekennzeichnet, daB die Zwischenspeichervorrichtung zwei Register- 
elernente (15, 17) umfaBt, die jeweils zum Speichem mehrerer, vorzugsweise einer der Anzahl der Stufen des Re- 30 
chenwerks (3) entsprechenden Anzahl p, Daten worle der Wortbreite n ausgebildet sind. 

12. Vorrichtung nach Anspruch 11, dadurch gekennzeichnet, daB eines der beiden Registerelemente (17) zwei Aus- 
gange (19) aufweist, wobei an einem Ausgang (19.2) der adressierte gespeicherte Wert und am anderen Ausgang 
(19.1) das Eingangssignal des Registerelements oder der adressierte gespeicherte Wert bereitgestellt ist. 

13. Vorrichtung nach einem der vorhergehenden Anspriiche, dadurch gekennzeichnet, daB die Zwischenspeicher- 35 
vorrichtung ein drittes Registerelement (27) umfaBt, das entweder das Ausgangssignal (19.2) des zweiten Register- 
elements (17) oder das ruckgefuhrte Signal (R) speichert 

14. Vorrichtung nach einem der vorhergehenden Anspriiche, dadurch gekennzeichnet, daB die Auswertevorrich- 
tung ein weiteres Multiplexer- Element (33) umfaBt, dessen Ausgang mit einem Eingang des Exklusiv-Oder-Gatters 
(35) verbunden ist, und dessen zweiter Eingang mit einem Zwischenspeicherelement (31) verbunden ist, das das 40 
Ausgangssignal des zweiten Registerelements (17) oder das Dateneingangssignal zwischenspeichert. 

15. Vorrichtung nach einem der vorhergehenden Anspriiche, dadurch gekennzeichnet, daB ein Verknupfungsele- 
ment (45) vorgesehen ist, daB das Ausgangssignal des Mulitplexerelements (43) und das Ausgangssignal des zwei- 
ten Registerelements (17) verkniipft, und dieses Ausgangssignal einem Multiplexerelement (9) zufiihrt, dessen Aus- 
gang mit dem Exklusiv-Oder-Gatter (11) verbunden isL 45 

16. Vorrichtung nach einem der vorhergehenden Anspriiche, dadurch gekennzeichnet, daB das Rechenwerk zur 
Ver-/Entschlusselung von Daten der Wortbreite j < n ausgelegt ist, wobei die Daten der Wortbreite n-j zur Auf- 
nahme von unverschlusselt zu ubertragenden Steuerinformationen dienen. 
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